ADG Оставить заявку
Блог Регуляторика 5 мин чтения

152-ФЗ и приказ ФСТЭК №58: проверяем клиента из торговли до дедлайна

Провели аудит соответствия 152-ФЗ для торговой компании. Нашли базы с персданными в Excel на файлопомойке без шифрования и контроля доступа. Составляем план на полгода.

Контекст момента

Вступление в силу требований по защите персональных данных по 152-ФЗ и приказу ФСТЭК №58 - регуляторный дедлайн 1 января 2010 года приближается

С 1 января 2010 года операторы персональных данных обязаны выполнять технические требования по защите ПД - в первую очередь те, что прописаны в приказе ФСТЭК №58, подписанном прошлым летом. До дедлайна одиннадцать месяцев. Казалось бы, время есть. Но когда начинаешь смотреть на конкретную инфраструктуру, одиннадцать месяцев превращаются в очень мало.

На прошлой неделе провели первичный аудит для клиента - торговая компания, около восьмидесяти человек, несколько точек продаж, центральный офис. 152-ФЗ они слышали, в реестр операторов встали ещё в 2006-м, положение об обработке есть. Всё честь по чести на бумаге. Пришли смотреть, что под бумагой.

Картина на месте

Инвентаризация информационных систем по персданным показала привычный набор: 1С:Зарплата, 1С:Торговля, самописная CRM на Access, файловый сервер с кадровыми документами. Пока стандартно - именно это мы выявляли при первом прочтении закона в 2006-м, именно это потом описывали в реестре для РКН. Но дьявол, как обычно, в деталях.

Первое - Excel на файлопомойке. IT-директор упомянул как бы вскользь: «Ну и ещё есть несколько файлов с данными клиентов у менеджеров». Попросили показать. Оказалось, что база постоянных покупателей ведётся в Excel: ФИО, телефон, дата рождения, иногда паспортные данные для программы лояльности. Файлы лежат в общей папке на файловом сервере - причём в той части, куда имеет доступ весь офис. Никакого разграничения, никакого шифрования, никакого журнала доступа. Файл открыт любым сотрудником в любой момент.

Второе - точки продаж. На каждой торговой точке есть локальный ПК с кассовым ПО. В нескольких из них обнаружилась своя база - менеджеры на местах дублировали данные клиентов локально «для удобства». Эти машины не в домене, резервное копирование не настроено, антивирус не обновлялся с момента установки. Одна машина оказалась вообще под учёткой «Администратор» без пароля.

Третье - кадровые документы. Сканы паспортов и СНИЛС сотрудников лежат в сетевой папке HR. Доступ к папке - по сетевому имени, без аутентификации: оказалось, что её открыли для удобства из нескольких кабинетов и забыли закрыть. Из любой машины в офисной сети папка монтируется без пароля.

Что это означает по приказу ФСТЭК №58

Приказ №58 вводит понятие классов защищённости информационных систем с персданными (ИСПДн) и набор мер для каждого класса. Для класса К3, куда попадает большинство небольших коммерческих компаний, обязательны: идентификация и аутентификация пользователей, управление доступом, регистрация событий безопасности, обеспечение целостности, антивирусная защита.

Если коротко: то, что мы нашли, не выполняет ни одного из этих пунктов в части Excel-баз и кадровых папок. Файловый сервер с 1С и CRM ещё как-то тянет на формальное соответствие - там AD, роли, хотя бы базовая политика паролей. Остальное - нет.

Отдельный вопрос - классификация ИСПДн, которую клиент обязан провести по методическим документам ФСТЭК и ФСБ. Формально её сделали: для 1С зарплатной определили К2, для остального К3. Но Excel с данными покупателей в эту классификацию вообще не попал - его просто не посчитали «информационной системой». Придётся пересматривать.

Что написали в план

Шесть месяцев - именно столько мы отвели на устранение. Это не запас прочности, это минимум, который потребуется, чтобы сделать всё по-человечески, а не для галочки.

  • Январь-февраль - перенос Excel-баз в CRM с разграничением доступа и журналированием; ликвидация анонимных сетевых папок; инвентаризация всех ПК на точках продаж, ввод в домен или замена на терминальный доступ.
  • Март - пересмотр классификации ИСПДн с учётом всех найденных систем; настройка резервного копирования на точках; обновление антивируса централизованно через политику.
  • Апрель-май - настройка журналирования событий безопасности на файловом сервере и рабочих станциях; разработка регламента работы с персданными для сотрудников; обучение.
  • Июнь - итоговая проверка, подготовка документации о выполненных мерах для потенциальной проверки Роскомнадзора или ФСТЭК.

Шифрование данных на рабочих станциях и внешних носителях в план тоже включили, но вынесли отдельным вопросом: это и бюджет, и выбор инструмента, и это надо обсуждать с клиентом отдельно. Инструменты класса «шифрование диска» существуют, но вопрос в том, что поддаётся сертификации и что реально устроит ФСТЭК при проверке.

Что стало понятно по итогам

Типичная ситуация: компания сделала всё на бумаге - реестр, положение, уведомление РКН - и на этом успокоилась. Технические меры остались за скобками, потому что их никто не проверял и никакой конкретной даты до прошлого лета не было.

Приказ №58 - это первый документ, который переводит разговор из «должны в принципе» в «должны конкретно». Проблема в том, что многие об этом ещё не знают или знают, но не понимают, как это выглядит применительно к их инфраструктуре.

Мы продолжаем вести этот проект в рамках аудита безопасности. По результатам первого этапа - в июле, когда закроем точки продаж.

Интересно, что клиент поначалу был уверен, что «у нас всё есть». Обычная история: бумага есть, уязвимостей - тоже хватает.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.